サイバーセキュリティ基礎論 ― IT社会を生き抜くために ― 安全な設定(1) サイバーセキュリティ基礎論
安全な設定 個人でできるサイバーセキュリティ対策を 知る 情報機器そのものを守ること サービスに提供した自分の情報などを守る こと ネット上を流れる情報を盗聴されないため にできること サイバーセキュリティ基礎
最初に… 万能なセキュリティ対策は存在しない どんな対策にも欠点・弱点がある セキュリティ対策は継続が重要 自分のパソコンにこのソフトを入れておけば万事 解決、というようなうまい話はない どんな対策にも欠点・弱点がある 欠点や弱点を把握しつつ複数の対策を打つ 「多層防御」 セキュリティ対策は継続が重要 状況が常に変化していく 一回入れて終わり、では対策にならない サイバーセキュリティ基礎
ネットワークの例 インターネット サーバ ログイン・情報要求 応答 データ センタ 九州大学 自宅など 無線LAN 利用者の情報 ... 大学や自宅などからネットのサービスを利用するばあいは大雑把にこのような感じの構成になっている 大学の中のサービスはインターネットに出て行かないかもしれないが 無線LAN サイバーセキュリティ基礎
攻撃の例 インターネット 偽サイト サーバ ウイルス 情報漏洩 盗聴 乗っ取り 盗難 データ センタ 九州大学 自宅など 無線LAN 利用者の情報 ... サーバ ウイルス 情報漏洩 九州大学 自宅など 盗聴 乗っ取り インターネットには様々な人が接続できるので、中には悪い人もたくさんいる 攻撃できる所はたくさんあり、これは一例 近いところで攻撃されるかもしれないし、遠くのサーバが攻撃対象になるかもしれない この図にはないがインターネット自体も盗聴されている可能性はある 無線LAN 盗難 サイバーセキュリティ基礎
できるところから対策 インターネット 個人でも対策可能な所 サーバ データ センタ 九州大学 自宅など 無線LAN 利用者の情報 ... 自分の手の届かない所については自分では防御しようがないが、できるところは対策したほうがいい 今日はその中で自分の使っている機械、サーバ側にある情報、それから通信経路の3つについて防御のための設定などを紹介する 無線LAN 個人でも対策可能な所 サイバーセキュリティ基礎
何が守れるのか? 情報機器そのもの サービス側にある情報 ネット上で受け渡される情報 自分のパソコン・スマホなどとその内容 より安全な使い方 「アカウント」の保護 ネット上で受け渡される情報 無線LANの安全性について サーバ・クライアント間の暗号化について サイバーセキュリティ基礎
手元の端末を守る サイバーセキュリティ基礎
個人の端末は重要情報の宝庫 自分のスマートフォンに何が入っている? 自分の個人情報等 家族・知人の情報 住所・氏名・電話番号・誕生日… 音声・写真 購入した音楽や映画 いつも利用しているサービスやアプリのログイン情 報・履歴 決済情報(クレジットカード・口座) 家族・知人の情報 サイバーセキュリティ基礎
紛失・盗難に遭ったら…? 盗った人が元の持ち主に「なりすませる」 多くのアプリは初回起動時しかログイン情報を聞かない 電話等による高額な請求 利用サービスの乗っ取り等 多くのアプリは初回起動時しかログイン情報を聞かない 利用者の利便性を優先 端末自体が他人に利用されないことを前提 メールやSNSでなりすまされると…? 詐欺、迷惑メール 他人の手に渡ったときに使われない対策が必要 サイバーセキュリティ基礎
「悪意のあるソフトウェア」による被害 ウィルス、不正アプリなど 「電子的な乗っ取り」 「敵」を侵入させない対策が必要 物理的には盗まれていないが、中身だけ盗まれる ような状態 自分の端末が「敵」に変わる 「敵」を侵入させない対策が必要 サイバーセキュリティ基礎
情報機器を守る 盗難・紛失対策 「悪意のあるソフトウェア(マルウェア)」対策 他人に操作されないようにする パスコード・パスワードでのロック 内部データの暗号化 「iPhoneを探す」などのサービス 乗っ取られると悪用される危険はある 定期的にバックアップを取る 「悪意のあるソフトウェア(マルウェア)」対策 malware = malicious software サイバーセキュリティ基礎
パスコード・パスワードロック スマートフォンはパスコード等を設定する 4桁の数字でもいいがパスワード文字列の方がよ り強固 面倒だが設定していないと盗難・紛失時に問題 「なりすまし」で被害が拡大 指紋認証機能などがあれば活用する パターンロックは画面に残る指の跡からバレるお それがあるので注意する サイバーセキュリティ基礎
iPhone 5s の例 サイバーセキュリティ基礎
Android 5.1 の例 端末暗号化を有効にすると 選択できなくなる サイバーセキュリティ基礎
iPhone 5s/6 の指紋認証 寝ているときに指を使われてアンロックさ れる、という弱点がある? 再起動をかけると初回はパスコードを入力 する必要があるようになっている 心配性な人は寝る前に再起動しよう このスライドは半分ネタです サイバーセキュリティ基礎
パスワードロック Windows・Mac等のパソコンの場合 自分のユーザにパスワードを設定 スクリーンセーバや画面を閉じた時にロックされ るように設定 一定時間触らないとスクリーンセーバ起動 同時にロックされる 起動時の自動ログインは設定しない サイバーセキュリティ基礎
Windows 7 の例 サイバーセキュリティ基礎
パスワードロック めんどくさい!と思うかもしれないが、そ れが普通になるように習慣づけるべき ロックしないのは自分の自転車に鍵をかけずに道 端に放置するようなもの そのまま持ち去られて後悔しても遅い サイバーセキュリティ基礎
さらなる紛失対策 端末の位置検索とリモート操作 iOS端末 Android端末 どちらも事前の設定とアカウントが必要 端末の現在位置の表示 遠隔での着信音鳴動、ロック、データ消去 iOS端末 「iPhoneを探す」アプリ Android端末 「Androidデバイスマネージャー」アプリ どちらも事前の設定とアカウントが必要 携帯電話会社による類似サービスもあります サイバーセキュリティ基礎
パソコンは? Mac OS X は「Macを探す」 Windows には標準では無い ネットワークに接続してオンラインになら ないと使えない 「iCloud」設定で有効にする Windows には標準では無い ネットワークに接続してオンラインになら ないと使えない 遠隔消去の成功率は5%程度との報告もある ないよりはマシ、程度 スマホは携帯の電波をつかめればオンラインになるがパソコンはそうはいかないためだろう サイバーセキュリティ基礎
逆に悪用された例 WIRED.comのシニアライター、マットホーナン 氏のアカウントが乗っ取られ、Mac上のデータ が遠隔消去されてしまった事象 http://wired.jp/2012/08/14/amazon-apple- security-hacked/ 大事な家族写真などを失ってしまった Apple IDが乗っ取られた結果「Macを探す」機 能が悪用された サービスを利用するためのアカウントの保護も同時 に必要 サイバーセキュリティ基礎
バックアップの重要性 パソコンやスマホのデータ、バックアップ していますか? バックアップがあると… 紛失・故障しても手元に情報が残る マルウェアに乗っ取られても元に戻せる バックアップも感染、ということもあるが 「身代金要求ソフト」の被害を軽減 サイバーセキュリティ基礎
スマートフォンのバックアップ iOS端末 iCloudでバックアップ iTunesでバックアップ 電源に接続されWi-Fi(無線LAN)に接続されてい る時に自動で行われる 家にネットがないとつらい 大学のkitenetなどでできないこともない iTunesでバックアップ パソコンに接続してiTunesでバックアップ 手動操作が必要 サイバーセキュリティ基礎
スマートフォンのバックアップ Android端末 すべての端末で使える簡便な方法はない Goggleアカウントで自動保存されるものもある がアプリが対応している必要がある なにが復元されるか明確で無いので信頼できない フリーソフト「Helium」をPCと端末にインス トールする、など(手順が煩雑) 携帯電話会社が専用ツールを入れていることも サイバーセキュリティ基礎
パソコンのバックアップ USB接続の外付けHDDを買う 接続してOS標準のバックアップ機能を利用 1万円くらいで十分な容量が買えるはず 接続してOS標準のバックアップ機能を利用 Windows 8.1: 「ファイル履歴」 その左下に「システム イメージ バックアップ」 Mac OS X: 「Time Machine」 個別ファイル復元とシステム復元両方可能 PC本体やHDDのおまけでバックアップソフトが付い ている場合もある バックアップからの戻し方も予習しておくこと サイバーセキュリティ基礎
データの暗号化 盗難時に、他のPCに接続するなどして内容を吸 いだされたり、分解して記憶装置だけ取り出さ れたりすることがある 暗号化で防げる 最近の機械は通常のパスワードロック解除で自 動で復号できる場合が多い ほとんど気にせずに利用できる SDカードやUSBメモリは問題 サイバーセキュリティ基礎
スマートフォンの暗号化 iOS端末 Android端末 端末の起動時にパスコードの入力が必要になる パスコードをかけると自動で暗号化される 外付けの記憶装置は刺せない Android端末 「設定」の「セキュリティ」で「端末の暗号化」など バージョンによって異なる 機能が削除されている端末もあるらしい 有効化にとても時間と電力を消費するので時間がある時に 「SDカードの暗号化」が設定できる端末もある 端末の起動時にパスコードの入力が必要になる サイバーセキュリティ基礎
パソコンの暗号化 OS標準でディスク全体の暗号化に対応 パスワードとは別にデータ復旧用のキー (文字列)も提供される Windows: BitLocker Mac OS X: FileVault パスワードとは別にデータ復旧用のキー (文字列)も提供される 両方忘れると暗号を復元不能になる やはりデータのバックアップも重要 サイバーセキュリティ基礎
「マルウェア」 コンピュータウイルスなど、悪意のある活 動をするソフトウェアの総称 利用者をだましたり、気づかないうちにパソコン 等に入り込んで実行 情報を盗む クレジットカード・オンラインバンキング ソフトウェアのライセンスキー いろいろなサービスのログイン情報 外部に迷惑メールを送信する 他のパソコン等にさらに侵入を広げる サイバーセキュリティ基礎
マルウェア対策(1) ウイルス対策ソフト 全学ソフトウェアを利用 基本的には「既知」のウイルスしか検知しない 新種の出現が早くなり有効性は低下 対策ソフトの更新が追いつかない 半分くらいしかひっかからないという報告もあり しかし何もしないよりはいい ただし過信してはいけない 「検知されなかったから開いていい」わけではない そもそも危ないファイルを扱わないような心がけ 全学ソフトウェアを利用 http://soft.iii.kyushu-u.ac.jp/a-virus/ サイバーセキュリティ基礎
利用時の心がけ 対策ソフトは万全ではないので、自力で身を守る必 要がある 不審なサイトに近づかない 不用意にダウンロードやインストールをしない 検索結果を鵜呑みにせず公式サイトを探す メールの添付ファイルやリンクには用心する 個人情報をむやみに提供しない 怪しいと思ったら詳しい友達や先生に相談 サイバーセキュリティ基礎
サンドイッチテスト このサンドイッチ、食べても大丈夫? 自分で作ったサンドイッチ コンビニで買ったサンドイッチ 友達からもらったサンドイッチ 知らない人からもらったサンドイッチ 公園で拾ったサンドイッチ いろいろな状況を想像してみる サンドイッチを、アプリやソフトウェア、メールの添付ファイ ルなどに置き換えて考える サイバーセキュリティ基礎
携帯・スマホ・タブレットは? iOS(iPhone・iPad・iPod touch 等) 仕組み的に対策ソフト自体がほとんど無い マルウェアもマルウェア対策ソフトも作成困難 App Storeは事前審査が厳しい(らしい) 危険なアプリは事前審査で拒絶される マルウェアが全く存在しないわけではない 通常App Store以外からはアプリを導入できない 「脱獄」している場合は別(自己責任) サイバーセキュリティ基礎
携帯・スマホ・タブレットは? Android ウイルス対策ソフトはあるが、実効性は疑問 Google Play Storeの事前審査は甘い 仕組み的にインストール後にしか検査できない 検知した時は手遅れ、ということ Google Play Storeの事前審査は甘い 人気ソフトの偽物がよく発見されている 設定によりGoogle Play Store以外からもアプリ が導入可能 自己責任 サイバーセキュリティ基礎
マルウェア対策(2) ソフトウェアには「バグ」(プログラムの 誤り)がつきもの 多くのマルウェアは「バグ」を利用して攻 撃・侵入する 人間が作るものだから 多くのマルウェアは「バグ」を利用して攻 撃・侵入する 特に攻撃に利用可能な「バグ」を「脆弱性」 通常、脆弱性は見つかると修正される 修正版に更新することで攻撃されにくくなる サイバーセキュリティ基礎
ソフトウェア更新 Window、Mac OS などの基本ソフトウェア (OS = Operating System)は常に最新版に Windows Updateなどのソフトウェア更新機能 特に攻撃に利用されやすいソフトウェアに注意 Oracle Java Adobe Acrobat Reader Adobe Flash Player Microsoft Office サイバーセキュリティ基礎
Windows 8.1のコントロールパネル(一部) 基本的に自動でアップデートしようとするがたまにうまく動いていないので手動での確認も大事 サイバーセキュリティ基礎
Windows Update サイバーセキュリティ基礎
OS X Yosemite の App Store サイバーセキュリティ基礎
スマホ・タブレットは? iOS(iPhone・iPad・iPod touch) Android Appleが不定期に更新 iOS 8 が出たので iOS 7 はもうアップデートされない セキュリティの観点からは iOS 8 を入れざるを得ない 旧世代の端末も数年間は対応 Android 大元の開発はGoogle 各端末のアップデートは携帯会社や端末メーカーが 提供 あまり提供されないことも多い 脆弱性ほったらかし サイバーセキュリティ基礎
iPhone 5s の例 サイバーセキュリティ基礎
Android 5.1 の例 サイバーセキュリティ基礎
アプリのアップデート アプリにもセキュリティホールが見つかる ことがある 基本的には最新版にするほうがいい アップデートして壊れることもあるが、ある程度 は仕方がない LINEやfacebook等の著名なサービスは問題 があるとニュースなどで話題になるので気 をつけて見ておく サイバーセキュリティ基礎
身代金要求ソフト (ランサムウェア) Windows マルウェアの一種 感染するとパソコン上の文書ファイルなどを暗号化 「CryptoLocker」が有名 感染するとパソコン上の文書ファイルなどを暗号化 「秘密鍵」がないと復号不能になる 「金を払えば元に戻してやる」との表示 金を振り込むと秘密鍵を教えてもらえる …とは限らない そもそも感染しない対策が必要 どうあっても悪人に金を渡すべきではない 感染した時点でデータは消されていても仕方ない状態 途中で出てきたので話題提供として サイバーセキュリティ基礎
課題 本日の講義であげた設定で、既に自分が実施し ていることがあればそれを示し、それをする事 の利点や難点など気づいたことを書いてくださ い。 本日の講義を聞いて、今までしていなかったが 新たに実施しようと考えたことがあれば、それ を書いてください。 逆に、知ってはいたが自分では実践していない ことがあれば、その内容とそれをしない理由を 書いてください。 本講義の感想、要望、質問などあれば、書いて ください。 サイバーセキュリティ基礎